Насчет globals_on
---
Если скрипт написан ПРАВИЛЬНО, то есть, все переменные проинициализированы (я не говорю про фильтрацию. это другое), то globals_on не представляет никакой угрозы. Но обычно, в реальных скриптах, далеко не все переменные инициализированы должным образом, тут и кроется основная опасность, ибо через глобальную переменную можно передать какой-нибудь опасный параметр в ЛЮБУЮ неинициализированную переменную.
Чтоб избежать этого, потому, даже в 5.х версии РНР globals по умолчанию выключен.